Информационную службу Windows Internet (или IIS) 7.5 и 8 можно настроить на использование только надежных шифров. Эта статья покажет вам шаги, необходимые для этого.
Просмотр и редактирование включенных шифров
- Из командной строки запустите gpedit.msc, чтобы запустить редактор локальной групповой политики,
- Появится окно с редактором локальной групповой политики. На левой панели щелкните Конфигурация компьютера >> Административные шаблоны >> Cеть >> Параметры конфигурации SSL.
- На правой панели дважды щелкните Заказ SSL Cipher Suite редактировать принятые шифры. Обратите внимание, что редактор принимает только до 1023 байтов текста в зашифрованной строке - любой дополнительный текст будет проигнорирован без предупреждения.
- По завершении сохраните изменения, а затем перезапустите сервер, чтобы они вступили в силу. Не забывайте, что изменение конфигурации вашего набора шифров может привести к сбою старых браузеров на вашем веб-сайте, потому что они не могут использовать обновленные более сильные протоколы.
Выбор сильных комплектов шифров
Список всех доступных наборов шифров можно найти по адресу эту ссылку в библиотеке поддержки Microsoft.
SSL.com рекомендует следующую конфигурацию набора шифров. Они были выбраны из соображений скорости и безопасности. Вы можете использовать этот список в качестве шаблона для своей конфигурации, но ваши собственные потребности всегда должны иметь приоритет. Для устаревшего программного обеспечения (например, старых браузеров) могут потребоваться более старые, менее безопасные комплекты шифров. Вы можете добавить поддержку этих устаревших браузеров, если ваши клиенты не обновлены.
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 *
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 *
* Только для Windows 8.1 и Windows Server 2012 R2.